Microsoft stoppt das Patch-Karussell trotz Lückenregen

Martin Schindler,

Angesichts neuer Sicherheitslücken bei Microsoft-Produkten sollte das Patch-Karussell am Laufen bleiben. Doch Redmond will es besonders gründlich machen.

Noch im Oktober hatte Microsoft angekündigt, monatlich Sicherheitslücken nachzubessern. Doch jetzt teilt Microsoft mit, dass es im Dezember keine Bulletins mehr geben werde. “Mitte kommenden Jahres werden selbst unsere schärfsten Kritiker sagen, dass wir die Ära der Patches hinter uns gelassen haben”, hatte Firmenchef Bill Gates noch im November erklärt. Doch die Serie der Lücken reißt einstweilen nicht ab und die Frage stellt sich, wie diese ohne Patches unschädlich gemacht werden sollen.
Die Begründung des Unternehmens: Die Qualität der Sicherheits-Flicken solle erheblich verbessert werden, und das brauche Zeit. “Es ist nicht so, dass wir überhaupt nichts tun, wir haben bloß noch keinen fertigen Patch in der Pipeline”, so versucht Iain Mulholland, Security Program Manager bei Microsoft, die Verzögerung bei den Bulletins zu erklären. Das Unternehmen arbeite sehr intensiv daran, die Qualität der Updates erheblich zu verbessern, und das habe Einfluss auf den Veröffentlichungszeitraum.

Nicht ganz zu unrecht reagiert Microsoft nun offenbar auf die Anwenderkritik. Auch Core Security Technologies, ein auf Security spezialisiertes Marktforschungsunternehmen, hat jetzt vor einer Sicherheitslücke in der Windows Workstation gewarnt, die ein Microsoft-Patch nur unzureichend geschlossen hatte. Über diese Lücke kann ein Angreifer einen Wurm ähnlich dem gefährlichen SQL Slammer einschleusen, so heißt es.

Der neue Wurm sei noch gefährlicher als sein Namensvetter und könne sich sogar noch schneller ausbreiten, wie Core Security Technologies erkannte. Denn der Angreifer müsse sich nun nicht mehr die Mühe machen, einzelne Computer zu adressieren, sondern könne einfach alle Computer eines Netzwerkes attackieren, sozusagen einen ‘Broadcast-Angriff’ starten.

Ein Sprecher des Unternehmens stuft die Lücke als besonders gefährlich ein, da sich diesem besonders effektiven Wurm eine besonders günstige Umgebung darbiete, sich auszubreiten. Und momentan könne das Sicherheitsleck nicht ausreichend abgedichtet werden.

Der selbe Fehler im Windows Messenger Service, der auch schon die Verbreitung des MSBlast-Wurms ermöglichte, könnte ausgenutzt werden, um über ein ‘fire-and-forget’-Protokoll Pakete zu verschicken. So muss keine zeitaufwändige Verbindung zwischen zwei Rechnern hergestellt werden, sondern der infizierte Rechner kann sehr schnell die Daten an viele Empfänger versenden, ohne darauf Rücksicht zu nehmen, ob sie einen Adressaten erreichen oder nicht.
 
Auch der Internet Explorer hat laut dem Sicherheitsunternehmen Secunia ein kritisches Leck. Über die Sicherheitslücke kann ein so genannter ‘fully qualified domain Name’, also irgend ein bekannter Domainname, in der Adresszeile erscheinen, anstatt einer URL, die nicht vertrauenswürdig ist. Damit könnten User getäuscht werden, dass sie sich auf einer vertrauenswürdigen Seite befinden, und so dazu gebracht werden, Informationen weiterzugeben oder bösartige Software herunterzuladen und auszuführen.

Der Fehler tritt in der Version 6.0 und vermutlich in allen vorangegangenen Versionen auf. Und der Explorer ist hier sehr leicht zu überlisten. Ein Link wird in der Adresszeile nur bis zu dem Zeichen %01 dargestellt, wenn dies direkt vor einem @ steht. Secunia vergibt auch die Alarmstufe 4 auf einer Skala von 1 bis 5.

Bedarf für neue Patches gibt es also offenbar. Doch vor etwa einem Monat hatte Firmengründer Bill Gates erklärt: “Sicherheit wird für uns kein Problem mehr sein.”